Vulnerabilidade descoberta no Edge ao usar o Microsoft Translator

Microsoft não para de tentar fazer o seu borda navegador um dos mais seguros quando se trata de navegar na Internet. Embora ainda esteja longe das quotas de mercado da Chrome, líder do setor, a verdade é que o navegador da Microsoft vem ganhando adeptos. No entanto, apesar das melhorias feitas por Redmond, a verdade é que não é isento de falhas. Agora, o mais recente foi descoberto um problema de segurança que compromete nossa privacidade e segurança.

Tudo está distante da semana passada. No dia 24, a Microsoft decidiu lançar uma nova atualização para seu navegador Edge, que inclui correções para dois problemas de segurança. Um deles diz respeito a uma vulnerabilidade de desvio de segurança que pode ser explorada para inserir e executar código arbitrário em qualquer site. Este bug foi registrado como CVE-2021-34506 e traz consigo um problema universal de script entre sites (UXSS). Este script é ativado quando usamos o aplicativo Microsoft Translator no navegador.

Vulnerabilidade descoberta no Edge ao usar o Microsoft Translator

Novo bug localizado em cross-sites universais (UXSS)

Por trás da descoberta desta nova vulnerabilidade estão os pesquisadores Ignacio Ignacio Laurence, Vansh Devgan e Shivam Kumar Singh pertencentes à CyberXplore Private Limited. Esta descoberta é conhecida como vulnerabilidade universal cross-site scripting (UXSS) . Isso significa que eles usam invasores para acessar os dados do nosso navegador privado no site “X” enquanto navegam no site malicioso “Y”. De acordo com esses pesquisadores, esse ataque UXSS explora as vulnerabilidades do usuário nas extensões do navegador para executar código malicioso, ao contrário do que acontece com um ataque XSS comum. Posteriormente, o navegador é afetado assim que essa vulnerabilidade é explorada, o que acaba causando a desativação de suas funções de segurança.

Especificamente, os pesquisadores descobriram um fragmento de código capaz de ser violado dentro de uma função de tradução da página do Microsoft Translator. Este fato permitia a qualquer hacker ou usuário mal-intencionado inserir um código JavaScript mal-intencionado dentro da página web, de forma que o usuário o executasse sem saber, clicando na mensagem na barra de endereço do Microsoft Translator.

Os citados pesquisadores também demonstraram outras vulnerabilidades. Por um lado, é possível realizar um ataque simplesmente adicionando um comentário a um YouTube vídeo ou fazendo um pedido de amizade de um Facebook perfil. Em ambos os casos, foi incluído conteúdo em um idioma diferente do inglês que, junto com o carregamento da extensão XSS, fez com que o código fosse executado imediatamente.

Atualize o Edge para corrigir o problema

Felizmente, este problema já foi corrigido pela Microsoft em sua última atualização disponível, qual versão é 91.0.864.59. Por isso, como sempre dizemos, é altamente recomendável manter nossos aplicativos atualizados e neste caso o navegador com a versão mais recente, pois isso sempre corrige erros e vulnerabilidades como o que discutimos.

Atualizar o Microsoft Edge

Para manter o Microsoft Edge atualizado com a versão mais recente, devemos abrir o navegador e clicar nos três pontos no canto superior direito. Aqui clicamos no Seção “Configuração” . Isso abrirá uma nova janela e na coluna esquerda clique em “Sobre o Microsoft Edge” . No lado direito podemos ver a última versão que temos disponível e caso haja um download para poder fazê-lo.